Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Por Que Isso é Importante
Criptografar os logs de atividade com Chaves Gerenciadas pelo Cliente (CMK) oferece controle direto sobre as chaves de criptografia para conformidade e segurança. Sem a CMK, a Microsoft gerencia as chaves por padrão, o que limita sua capacidade de aplicar políticas personalizadas de proteção de dados ou revogar o acesso em caso de violação. Esta verificação garante que você tenha autoridade exclusiva sobre a criptografia do seu log de auditoria, reduzindo o risco de exposição de chaves por terceiros.
O Que o Aether365 Verifica
O Aether365 verifica se a conta de armazenamento usada para exportação do log de atividades está criptografada com uma Chave Gerenciada pelo Cliente, em vez da chave padrão gerenciada pela Microsoft. Esta verificação aparece no seu painel em verificações de configurações de diagnóstico do Azure, identificando configurações incorretas que deixam dados críticos de log menos protegidos.
Como Corrigir
- Abra o Portal do Azure e vá para Monitor.
- Selecione Log de atividades e, em seguida, escolha Exportar Logs de Atividades.
- Selecione a assinatura que deseja configurar e anote o nome da conta de armazenamento usada para sua configuração de diagnóstico.
- Navegue até Contas de armazenamento e clique na conta de armazenamento anotada.
- Em Segurança + rede, selecione Criptografia.
- Em Tipo de criptografia, escolha Chaves gerenciadas pelo cliente.
- Siga as etapas na tela para configurar a chave do seu Key Vault, incluindo selecionar a chave e definir suas permissões.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0: Seção 6.1.3 (Nível 2)
- EIDSCA: Proteção de dados do Armazenamento do Azure
Recursos Relacionados
- Microsoft Learn: Usar a opção de chave gerenciada pelo cliente na criptografia de dados em repouso
- Microsoft Learn: Exportação do log de atividades e perfis de log herdados